Fraunhofer IESE - Informationsklassifizierung

Informationsklassifizierung für Microsoft Office

Informationen sind für Unternehmen wichtige Güter. Sie bilden die Basis für Geschäftsprozesse und sind deshalb schützenswert. Gelangen Informationen in falsche Hände, kann dies für ein Unternehmen drastische finanzielle Folgen haben. Mitarbeiter sollten die Informationen daher frühzeitig bei der Erstellung klassifizieren, aber auch während des Lebenszyklus eines Dokuments anpassen und schützen. In diesem Artikel zeigen wir, wie unsere Add-ins für Microsoft Office Sie dabei unterstützen, die Informationsklassifizierung auf einfache und effiziente Weise umzusetzen.

Warum ist die Klassifizierung von Informationen wichtig?

Die Klassifizierung von Informationen dient dem Schutz von Unternehmenswerten und sollte deshalb durchgängig und konsequent umgesetzt werden. Neben dem Schutz von Unternehmenswerten spielen allerdings auch Gesetze und interne Sicherheitskonzepte eine wichtige Rolle.

Mit der Einführung des Geschäftsgeheimnisschutzgesetzes (GeschGehG) hat der Gesetzgeber die europäische Richtlinie (EU) 2016/943 zum »Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung« umgesetzt. Das Gesetz gilt seit dem 26.04.2019 und definiert in §2 Nr.1 GeschGehG genau, was ein Geschäftsgeheimnis ist.

Im Sinne dieses Gesetzes ist

1.

Geschäftsgeheimnis

eine Information

a)

die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und

b)

die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und

c)

bei der ein berechtigtes Interesse an der Geheimhaltung besteht;

Die einzelnen Voraussetzungen müssen kumulativ gelten. Ein für die Informationsklassifizierung wichtiger Punkt ist, dass der Inhaber der Information »angemessene Geheimhaltungsmaßnahmen« ergriffen hat. Die Bewertung, ob eine Maßnahme angemessen ist, ist einzelfallabhängig und fordert die Berücksichtigung mehrerer Faktoren. Beispielsweise sind die Anforderungen und Möglichkeiten eines Unternehmens das Geheimnis zu schützen abhängig von seiner Größe (KMU vs. Großkonzern). Außerdem spielt auch die Sensibilität der Information eine Rolle, d.h. die Schutzmaßnahmen sollten immer strenger werden, je wichtiger die Information ist. Die getroffenen Entscheidungen sollten die Unternehmen aus Gründen der Rechtssicherheit gut dokumentieren. Mögliche Schutzmaßnahmen können vertragliche Maßnahmen (z.B. Geheimhaltungsvereinbarungen) sein, organisatorische Maßnahmen (Schutzkonzept, Verantwortlichkeiten) oder technische und physische Maßnahmen.

Neben der gesetzlichen Motivation zum Schutz von Informationen, spielt die Informationsklassifizierung auch bei der Einführung eines ISMS (Information Security Management System) nach ISO27000 eine Rolle. Das übergeordnete Ziel ist dabei die Vermeidung von Sicherheitsvorfällen beim Umgang mit Informationen. Hierzu werden die Informationen in Vertraulichkeitsklassen eingeteilt. Üblicherweise verwendet man hierzu drei bis vier Klassen. Je nach Bedarf können Unternehmen aber auch mehr Vertraulichkeitsklassen definieren. Im Rahmen unseres Beispiels werden wir die drei Vertraulichkeitsklassen »Öffentlich«, »Intern« und »Vertraulich« verwenden. Für jede Vertraulichkeitsklasse definiert ein Unternehmen, wie mit den jeweils klassifizierten Informationen umgegangen werden muss. Dahinter stehen beispielsweise Fragestellungen wie Informationen hinsichtlich der Speicherung, Übertragung und Vernichtung gehandhabt werden müssen.

Unsere technischen Hilfsmittel zur Unterstützung der Informationsklassifizierung

In Unternehmen werden viele Dokumente erzeugt und geteilt. Dabei können Fehler passieren, wie beispielsweise der Versand vertraulicher Daten an externe oder unberechtigte Personen oder fehlende Schutzmaßnahmen (z.B. Verschlüsselung). Es kann außerdem passieren, dass Informationen nicht klassifiziert werden, weil es zu umständlich oder schlichtweg vergessen wird. Andere Personen, die anschließend die Informationen weiterbearbeiten schätzen dann das Schutzbedürfnis unter Umständen anders, falsch oder sogar gar nicht ein. Ein klassischer Fall ist der Export von Informationen aus einem System in Form eines Microsoft Word Dokuments, das anschließend weiterbearbeitet wird. Beim Export erfolgt keine Klassifikation und nach der Weiterbearbeitung wird das Dokument oft ebenfalls ohne Klassifikation auf einem Netzlaufwerk gespeichert. Ähnlich ist es bei älteren Dokumenten die nach wie vor verwendet werden: Auch diese werden oft nicht nachklassifiziert.

Wir haben nach einem praktikablen Ansatz gesucht, um möglichst unaufdringlich, aber konsequent, unser Schutzkonzept umzusetzen und dadurch unsere Informationen zu klassifizieren. Beispielsweise schreibt unser Schutzkonzept vor, dass vertrauliche Dateien die Klassifizierung im Dateinamen tragen oder sich in einem entsprechend bezeichneten Ordner befinden müssen. Ferner muss die Klassifikation eines Dokuments klar auf ihm ersichtlich sein. Um das Schutzkonzept flächendeckend umzusetzen und die Klassifikation für Mitarbeiter zu erleichtern, haben wir verschiedene technische Helfer in Form von Add-ins entwickelt. Diese Add-ins integrieren sich in Microsoft Word, Excel, PowerPoint und Outlook. Das Ziel unserer Add-ins ist eine unaufdringliche und konsequente Umsetzung unserer Schutzkonzepte im gesamten Workflow.

Am Beispiel der Erstellung eines Dokuments in Microsoft Word zeigt sich die Einfachheit unserer Lösung. Wann immer Sie ein neues Dokument erstellen oder ein vorhandenes Dokument öffnen, wird sobald Informationen fließen (z.B. Speichern, Drucken) geprüft, ob das Dokument nach den Vorgaben des Schutzkonzepts klassifiziert ist. Ist es das nicht der Fall, so wird ein Dialog angezeigt, mit dem die Schutzklasse per Klick festgelegt werden kann.

Fraunhofer IESE - Informationsklassifiezierung
Abbildung 1: Beispiel Erstellung eines Word-Dokuments

Die Auswahl kann schnell mittels Tastendruck (Shortcut) oder Mausklick bestätigt werden. Auf diese Weise werden automatisch auch alte Dokumente klassifiziert, sobald sie bearbeitet wurden. Bei der Klassifikation als »Vertraulich« (Confidential) wird automatisch auch ein entsprechender Hinweis im Inhalt des Dokuments platziert. Der Ort des Hinweises kann aus einer Auswahl vorgegeben werden oder durch die bearbeitende Person bzw. ein Template frei gewählt werden.

Das Add-in stellt zudem sicher, dass auch der Dateiname das im Schutzkonzept definierte Format aufweist. Die Information über die Klassifikation wird zudem nicht nur sichtbar im Dokument hinterlegt, sondern auch in den Metadaten. Dies ermöglicht ein einfaches Auslesen und die schutzklassenspezifische Weiterbearbeitung durch andere Anwendungen. Die Funktion der Add-ins für Microsoft Excel und PowerPoint funktioniert in ähnlicher Form und Weise. Das Add-in für Microsoft Outlook bringt neben der Klassifikation von E-Mails noch weitere Funktionen mit, welche wir im nachfolgenden Abschnitt beschreiben.

Sensibilisierung vor dem Teilen von Informationen

Der Schutz durch unsere Add-ins endet nicht mit dem Beenden von Word. Wie bereits beschrieben, werden Daten in Unternehmen oft geteilt. Häufig erfolgt das Teilen per E-Mail. Unser Schutzkonzept definiert in einem solchen Fall beispielsweise, dass Daten, die als vertraulich klassifiziert sind, nicht unverschlüsselt versendet werden dürfen. Mit unserem Add-in für Outlook stellen wir technisch sicher, dass dies auch umgesetzt wird.

An zwei Beispielen zeige ich die Kernfunktionen des Add-ins: Das Versenden einer als »intern« klassifizierten Datei und im zweiten Beispiel das Versenden einer als »vertraulich« gekennzeichneten Datei. Beim Versenden einer »internen« oder »vertraulichen« Datei kann es passieren, dass aufgrund von Autovervollständigung oder Vorschlägen des E-Mail Programms aus Versehen ein externer Empfänger ausgewählt wird. Das Add-in bemerkt dies und macht mit einer Warnmeldung darauf aufmerksam, dass gerade eine interne Information an einen unternehmensfremden Empfänger gesendet wird. Beim Versenden einer als »vertraulich« gekennzeichneten Datei greifen weitere Schutzmaßnahmen. Wenn beispielsweise die E-Mail-Verschlüsselung nicht aktiviert wurde, wird der Nutzer im Dialog dazu aufgefordert. Dort kann er zwischen S/MIME-basierter E-Mail-Verschlüsselung oder – falls kein Zertifikat vorhanden ist – den Versand eines passwortgeschützten ZIP-Archivs wählen. Das Add-in kümmert sich dann um den Rest und verschlüsselt den zu versendenden Text mit seinen Anhängen. Zudem fügt das Add-in einen Hinweistext hinzu und klassifiziert die E-Mail ebenfalls. Beim Empfang der E-Mail wird der Empfänger klar auf die Vertraulichkeit hingewiesen – dies funktioniert auch, wenn unsere Add-ins nicht installiert sind. Antwortet er auf eine solche E-Mail, wird die Klassifikation automatisch übernommen und die Schutzmaßnahmen beim Absenden wieder entsprechend durchgesetzt (hierzu muss das Add-in installiert sein). Da auch in den Metadaten der E-Mail die Klassifikation vermerkt ist, können Mailgateways die Klassifikation feststellen und entsprechende Maßnahmen einleiten.

Motivation durch Mehrwert für die Mitarbeitenden

Die Informationsklassifizierung stellt einen kleinen Mehraufwand für Mitarbeitende dar. Um die Akzeptanz zu steigern, bietet das Add-in für Microsoft Outlook zusätzlich nützliche Funktionen:

  • Verschlüsselung einfach auf Knopfdruck
    Die Verschlüsselung einer E-Mail (per S/MIME oder ZIP-Archiv) kann ohne Umstände einfach per Knopfdruck beim Erstellen der E-Mail veranlasst werden.
  • Sprung in den Ordner einer gesuchten E-Mail
    Es kann per Knopfdruck in den Ordner zu einer in der Suche gefundenen E-Mail gewechselt werden.
  • Notizen zu E-Mails, Terminen und Aufgaben
    Es können Notizen erfasst und in den Verlauf der E-Mails gespeichert werden. Notizen können außerdem Terminen und Aufgaben hinzugefügt werden. Ideal für die Verwaltung Ihrer Gesprächsnotizen!
  • Terminblocker für die An- und Abreise zu Terminen hinzufügen
    Viele fügen vor und nach Terminen mit Reisetätigkeit einen Terminblocker für die An- und Abreise ein, damit andere Mitarbeitende keine weiteren Termineinladungen direkt vor oder nach der Reise versenden, die dann möglicherweise nicht wahrgenommen werden können. Das Erstellen dieser Terminblocker kann nun mit einem Knopfdruck erledigt werden.
  • Entfernen einer Verschlüsselung
    Die S/MIME-Verschlüsselung kann per Knopfdruck von E-Mails z.B. zum Zwecke der Archivierung entfernt werden. Die originale E-Mail bleibt dabei erhalten, die Verschlüsselung wird nur bei der Kopie entfernt.

Testen Sie uns

Wenn Sie an unserem praktikablen Ansatz zur Umsetzung der Informationsklassifizierung interessiert sind, melden Sie sich bei uns: https://www.iese.fraunhofer.de/de/competencies/security/office-add-ins.html

Wir freuen uns Sie zu unterstützen.

Umfangreicheren Schutz durch den Einsatz von MYDATA Control Technologies

Die Add-ins sind ein Teil der MYDATA Control Technologies. MYDATA Control Technologies ist eine Umsetzung des Konzepts der Datennutzungskontrolle und erlaubt eine umfangreiche Kontrolle der Datennutzung – gerade im Zusammenspiel mit der Klassifizierung von Informationen.

Beachten Sie auch unsere Blogartikel zum Thema MYDATA: https://blog.iese.fraunhofer.de/tag/mydata/

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.